Sélectionnez un ou plusieurs observables et effectuez une recherche de perception manuelle pour Microsoft Defender pour point de terminaison déterminer la prévalence d’une menace dans le temps.
Pourquoi et quand exécuter cette tâche
Les types d’observables pris en charge sont les suivants :
Procédure
-
Accédez aux incidents de sécurité.
-
Ouvrez un SIR existant ou créez un nouveau SIR.
-
Dans les liens connexes, cliquez sur Afficher l’IoC.
-
Cliquez sur les listes connexes Observables associés.
-
Sélectionnez les observables.
-
Dans la liste Actions, cliquez sur Exécuter l’enrichissement des observables.
-
Sélectionnez les observables sous Action sur les lignes sélectionnées, puis cliquez sur Exécuter la recherche de perceptions.
Remarque : La recherche de perception est prise en charge pour les types d’observables Nom de domaine, Adresse IP (V4), Adresse IP (V6), Hachage MD5, Hachage SHA1 et Hachage SHA256, respectivement.
-
Spécifiez le délai de la recherche, puis cliquez sur Rechercher.
Remarque : Microsoft Defender pour point de terminaison prend en charge la recherche de perception uniquement au cours des 30 derniers jours. Si votre requête de plage est antérieure aux 30 derniers jours, la recherche de perception ne récupère aucune donnée. Si votre requête de plage chevauche les 30 derniers jours, les observations des 30 derniers jours seulement sont récupérées, et si votre requête de plage se situe dans les 30 derniers jours, les observations de l’heure de début définie à l’heure actuelle sont récupérées.
-
À l’issue de la recherche, validez les résultats et les détails dans les listes connexes.
-
Cliquez sur Détails de la recherche d’observations pour afficher les détails de la recherche d’observations.
-
Cliquez sur l’onglet Perception pour plus de détails et sur l’onglet Résultats de recherche de perceptions pour obtenir les résultats de la recherche.
Vous pouvez afficher des informations supplémentaires relatives à l’observation particulière dans le champ Résumé .